Le secteur financier est devenu la cible prioritaire des attaques DDoS de couches 3 et 4, et la tendance s’aggrave. Selon le rapport d’Akamai AI-Empowered Botnets and API Visibility Gaps: Attack Trends in Financial Services, la durée moyenne de ces attaques a bondi de 738 % depuis 2024. Ce chiffre n’est pas anodin : la relation bancaire s’est massivement digitalisée, et une application bancaire ou une passerelle de paiement hors service ne représente plus seulement un incident technique mais un problème de conformité et de confiance client.

Les chiffres clés du rapport Akamai

Ces chiffres décrivent une menace multidimensionnelle. Les attaquants ne cherchent pas seulement à faire tomber un site : ils combinent saturation DDoS, exploitation d’API, bots avancés et ransomware dans des campagnes coordonnées. Le DDoS sert parfois de couverture pour tester d’autres vecteurs d’attaque pendant que les équipes de sécurité gèrent l’incident visible.

Les API, surface d’attaque prioritaire

96 % des responsables de services financiers interrogés déclarent avoir subi au moins un incident lié aux API dans les 12 derniers mois. C’est le taux le plus élevé parmi tous les secteurs analysés par Akamai. La raison est structurelle : les API sont le ciment de la banque moderne. Elles connectent applications mobiles, banque en ligne, paiements temps réel, intégrations tierces et services internes. Si elles ne sont pas surveillées précisément, elles deviennent des portes d’entrée que les attaquants identifient avant les équipes internes.

Akamai cite un cas où 96 % du trafic d’un site était identifié comme scraping malveillant, et une croissance de 147 % de l’activité des bots avancés fin 2025. Un bot avancé peut simuler un comportement humain, tester des identifiants, collecter des informations et lancer des requêtes contre des API en parallèle d’une campagne DDoS. L’intelligence artificielle accélère ces tâches et rend les campagnes plus persistantes et plus difficiles à distinguer du trafic légitime. Ce constat rejoint les préoccupations de Zscaler, qui a racheté Symmetry Systems pour mieux cartographier les identités et contrôler les accès dans les environnements mixtes humains-IA.

Géographie des menaces : l’EMEA en tête

La répartition géographique des attaques montre des profils distincts. L’EMEA concentre 62 % des attaques DDoS de couches 3 et 4 contre le secteur financier. En Asie-Pacifique, ce sont surtout les DDoS de couche 7 qui dominent (52 %), tandis qu’en Amérique du Nord, les attaques web restent les plus fréquentes (44 %). Pour les banques européennes, assureurs et fintech, ce positionnement ne peut pas être ignoré dans les évaluations de risque.

Akamai mentionne le rôle de campagnes hacktivistes pro-iraniennes et de botnets alimentés par l’IA dans des attaques visant la banque en ligne, les systèmes de paiement et les applications critiques. Un contexte géopolitique qui explique en partie pourquoi l’EMEA figure en tête des cibles.

DORA et NIS2 : la résilience opérationnelle devient obligatoire

Ces données arrivent dans un contexte réglementaire précis. Le règlement DORA, entré en vigueur le 17 janvier 2025, impose aux entités financières de l’UE de renforcer leur résilience opérationnelle numérique. Il ne se limite pas à la prévention : il couvre la gestion des risques TIC, la notification d’incidents, les tests de résilience, la surveillance des fournisseurs technologiques et la capacité de récupération. La directive NIS2 élargit ce cadre à 18 secteurs critiques de l’UE.

Se défendre contre un DDoS ne consiste plus à augmenter la bande passante ou filtrer du trafic. Cela nécessite une visibilité précise sur les API exposées, une surveillance des bots, une protection DNS, des plans de mitigation coordonnés avec les fournisseurs et des tests réguliers. La gestion des dépendances tierces devient également prioritaire : une panne chez un prestataire peut paralyser des services critiques. Akamai, qui propose justement des outils de sécurité et de visibilité comme AI Brand Presence pour adapter la présence numérique à l’ère de la recherche agentique, illustre comment les mêmes infrastructures cloud doivent répondre à des menaces croissantes.

La question pour beaucoup de banques et fintech n’est plus de savoir si elles seront attaquées, mais avec quelle intensité et avec quelle capacité de réponse. Les organisations qui ont digitalisé rapidement sans suivre l’évolution de leur surface d’attaque sont les plus exposées. Sans inventaire précis de leurs API, sans surveillance des bots et sans plans de continuité testés, les attaquants repèrent les failles avant les équipes internes.

Questions fréquentes

Qu’est-ce qu’une attaque DDoS contre une banque ?
Une attaque visant à saturer des services numériques (site, application, API, passerelle de paiement) en générant un volume massif de trafic ou requêtes coordonnées, pour les rendre indisponibles.

Pourquoi les API sont-elles aussi vulnérables dans la finance ?
Parce qu’elles connectent tout l’écosystème bancaire : mobiles, paiements, tiers, services internes. Mal surveillées, elles deviennent une porte d’entrée que les attaquants exploitent avant que les équipes ne détectent l’abus.

Comment l’IA renforce-t-elle les attaques DDoS ?
Elle automatise la génération de trafic malveillant, étend les campagnes, simule des comportements humains dans les bots et rend les attaques plus persistantes et difficiles à isoler du trafic légitime.

Qu’impose DORA aux établissements financiers européens ?
DORA exige de gérer les risques TIC, notifier les incidents majeurs, tester la résilience opérationnelle, contrôler les fournisseurs technologiques clés et prouver la capacité de récupération après incident.

Source : Rapport Akamai Financial Services Security 2026